ISO/IEC 27001:2022 - Was ist neu?

11.11.2022 | CYBER- & INFORMATIONSSICHERHEIT: Informationen und Daten sind Bestandteil fast jeden Geschäftsprozesses. Von ihrem reibungslosen Austausch ist unsere Wirtschaft und Grundversorgung über die Maßen abhängig.

Zeitgemäße Struktur für international führenden Standard

Der Schutz datentragender täglicher Prozesse, kritischer Daten und geistigen Eigentums vor Cyberangriffen ist deshalb für Unternehmen jeder Größenordnung unverzichtbar. Denn ohne richtig bemessene Sicherheitsvorkehrungen drohen Datenverlust und Datendiebstahl durch Hacker sowie Geschäftsstillstand durch Angriffe über das Web und / oder Datenmissbrauch.

Manche Informationen sind irrelevant, andere jedoch kritisch und vertraulich. Diese wichtige Unterscheidung muss Ihre Organisation treffen können, um Informationen entsprechend zu klassifizieren. Denn darauf bauen die Schutzmaßnahmen eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 auf.

ISO 27001 – in die Jahre gekommen, aber unverändert relevant 

ISO 27001 ist die international führende Norm zur Einführung eines ganzheitlichen Managementsystems für Informationssicherheit. An dieser seit mehr als zwei Jahrzehnten grundlegenden, weltweit anerkannten Prüfgrundlage für ISMS kommt heute, wenn es um Informationssicherheit geht, kein Unternehmen mehr vorbei. Sie definiert die Anforderungen an Aufbau, Einführung, Umsetzung, betriebliche Überwachung und Dokumentation an ein ISMS. Bestehende Risiken für die Unternehmen werden im Rahmen des erforderlichen Risikomanagements identifiziert, analysiert und durch wirksame Maßnahmen behoben. Die Norm betrachtet nicht nur IT-Prozesse. Sie bezieht auch Aspekte der Infrastruktur mit ein: wie Organisation, Personal und Gebäude sowie deren Umfeld.

Neue Struktur für weltweiten Standard

Angreifer nutzen immer neue Methoden um Schwachstellen in Unternehmen herauszufinden und über diese in die IT einzudringen, um dann Informationen zu manipulieren, oder zu entwenden. Jedes Unternehmen muss heute in der Lage sein, die so entstehenden Bedrohungen auf die Informationssicherheit, im wesentlichen Vertraulichkeit, Integrität und Verfügbarkeit, zu identifizieren und zu kontrollieren bzw. diesen entgegen zu wirken.

Am 25. Oktober 2022 wurde der neue Bewertungsrahmen für Informationssicherheit, die ISO/IEC 27001:2022 unter dem neuen Titel „Information Security, Cybersecurity and Privacy Protection“ veröffentlicht. Damit korrespondiert die ISO 27001 wieder dem Leitfaden ISO 27002 und entspricht dem Stand der Technik.
 

Die wichtigsten Änderungen

  • High Level Structure (HLS) wird zur Harmonized Structure (HS): Mit der Harmonized Structure wird mit Hilfe der ISO 27001 der Grundstein gelegt, um künftige ISO-Managementsystemnormen noch weiter zu harmonisieren. So gibt einige Ergänzungen und Streichungen sowie Klarstellungen gegenüber der Vorgänger-Norm.
  • Insbesondere wird im Abschnitt 6.3 präzisiert, dass Änderungen an Informationssicherheitsmanagementsystemen mit allen ihren Abhängigkeiten und Wirkungen geplant und damit beherrscht umzusetzen sind – so beispielsweise auch anzuwenden bei der Umstellung auf die neue Norm.
  • Maßnahmen, die auf die aktuelle Organisation und ihre Bedrohungen abgestimmt sind: Während die alte Version noch 114 Maßnahmen enthielt – gegliedert in 14 Bereiche – ist die neue Version, mit 93 Maßnahmen über vier Bereiche deutlich übersichtlicher:

Insbesondere die Themen Cloud-Nutzung sowie die Anforderungen an Business Continuity Management (BCM) wurden geschärft. Ferner wurde die „Privacy Protection“ mit einbezogen. D.h., das hier zusätzliche Maßnahmen zu betrachten und realisieren sind.

Darüber hinaus sind nun sämtliche Maßnahmen mit Attributen verknüpft, wodurch die Transparenz erhöht wird und sich Fehlinterpretationen bei der Anwendung reduzieren lassen. Im Vordergrund stehen jetzt die Identifikation, Bewertung und Steuerung von Risiken für die informationsverarbeitenden Prozesse. Die Sicherheit von vertraulichen Informationen wird dabei als bedeutendes strategisches Element hervorgehoben.

Wechselwirkungen mit anderen Normen

Infolge der Änderungen der Norm ISO 27001 sind auch die mit ihr assoziierten Normen ISO 27017 für Cloud Dienste und ISO 27018 zum Schutz personenbezogener Daten in öffentlichen Cloud-Diensten zu überprüfen und zu überarbeiten.

Umstellung bis Ende Oktober 2025

Die Übergangsfrist für bestehende ISO 27001-Zertifikate beträgt drei Jahre ab dem letzten Tag des Veröffentlichungsmonats der neuen ISO/IEC 27001:2022 (Oktober 2022). Das heißt, alle Zertifikate nach ISO/IEC 27001:2013 beziehungsweise DIN EN ISO/IEC 27001:2017 müssen bis zum 31. Oktober 2025 auf die neue Version ISO 27001 aus 2022 umgestellt sein. 

Jedes Audit zur Erstzertifizierung und Rezertifizierung, das ab dem 01.05.2024 beginnt, muss nach der neuen Version ISO/IEC 27001:2022 durchgeführt werden. Startpunkt ist der erste Tag des Audits vor Ort (Audit Stufe 1).

Die früheste Umstellung von Zertifikaten durch die Konformitätsbewertungsstellen kann erst erfolgen, wenn diese nach der neuen Norm akkreditiert sind. Dieses wird dadurch bestimmt, wann die Deutsche Akkreditierungsstelle (DAkkS) das entsprechende Umstellungskonzept auf den Weg gebracht hat.

Bei TÜV NORD CERT in guten Händen

TÜV NORD CERT zertifiziert seit über 30 Jahren Managementsysteme. Wir stehen für höchste Kompetenz in der Zertifizierung von Systemen, Personal, Produkten und Prozessen. Mit einem neutralen Zertifikat von TÜV NORD CERT verfügen Sie über einen objektiven und weltweit angesehenen Qualitätsnachweis. Wir freuen uns auf Ihre Anfrage.
 

Wir haben noch weitere Informationen zum Thema Informationsmanagementsysteme / ISO 27001 für Sie.

Unser Know-how für Ihren Erfolg

TÜV NORD CERT ist ein international anerkannter und zuverlässiger Partner für Prüf- und Zertifizierungsdienstleistungen. Unsere Sachverständigen und Auditoren verfügen über fundiertes Wissen und haben grundsätzlich eine Festanstellung bei TÜV NORD. Hierdurch sind Unabhängigkeit und Neutralität sowie Kontinuität bei der Betreuung unserer Kunden gewährleistet.